Was ist Audit-Log?
Ein Audit-Log ist eine chronologische, manipulationssichere Aufzeichnung von Systemereignissen und -aktivitäten – einschließlich Benutzeraktionen, Zugriffsversuchen, Konfigurationsänderungen und Sicherheitsereignissen –, die zu Zwecken der Rechenschaftspflicht, regulatorischer Compliance und forensischer Analyse geführt wird.
Auch bekannt als: audit trail, security log, activity log
Audit-Logs beantworten die grundlegenden Fragen einer Sicherheitsuntersuchung: Wer hat was, an welcher Ressource, wann und von wo aus getan? Sie protokollieren Ereignisse wie Benutzeranmeldungen, Datenzugriffe, Berechtigungsänderungen, API-Aufrufe, administrative Aktionen und fehlgeschlagene Authentifizierungsversuche. Bei einem Sicherheitsvorfall sind Audit-Logs oft die primäre Beweisquelle, um den Umfang einer Verletzung und die Aktionen des Angreifers zu verstehen.
Ein effektives Audit-Log erfordert mehrere Eigenschaften: Vollständigkeit (alle sicherheitsrelevanten Ereignisse werden erfasst), Unveränderlichkeit (Einträge können von den auditierten Akteuren nicht geändert oder gelöscht werden), Zeitstempel aus einer vertrauenswürdigen Quelle, ausreichendes Detail (einschließlich Identität, Aktion, Zielressource und Ergebnis) und sichere Speicherung getrennt von den überwachten Systemen. Viele Compliance-Frameworks – SOC 2, HIPAA, PCI-DSS, GDPR – stellen spezifische Anforderungen an Audit-Logs.
Die Herausforderung bei Audit-Logs ist die Balance zwischen Vollständigkeit, Datenschutz und Speicheraufwand. Zu wenig zu protokollieren hinterlässt Lücken in der forensischen Fähigkeit. Zu viel zu protokollieren kann Datenschutzprobleme verursachen (besonders beim GDPR-Datensparsamkeitsprinzip), enorme Speicherkosten erzeugen und paradoxerweise das Auffinden relevanter Ereignisse im Rauschen erschweren. Organisationen müssen definieren, was ein sicherheitsrelevantes Ereignis darstellt, und sicherstellen, dass diese Ereignisse erfasst werden, ohne übermäßig sensible Daten zu sammeln.
Wie Vaulted Audit-Log verwendet
Vaulteds Zero-Knowledge-Architektur setzt bewusste Grenzen für das, was auditiert werden kann. Der Server protokolliert operative Metadaten – wie Erstellungszeitstempel für Geheimnisse, View-Zählungen und Ablaufereignisse – protokolliert jedoch nie den verschlüsselten Inhalt oder die Verschlüsselungsschlüssel, da er sie nie besitzt. Dieser Ansatz entspricht den Datensparsamkeitsprinzipien: Das Audit-Log erfasst genug, um den Systemstatus zu überwachen und Missbrauchsmuster zu erkennen, ohne eine Chronik zu erstellen, die sensible Daten offenlegen könnte, wenn die Logs selbst kompromittiert werden.